Universidad Tecnológica de Huejotzingo

Organismo Público Descentralizado del Estado de Puebla

Ingeniería en Tecnologías de la Información y Comunicación

INTEGRADORA II

Auditoria Outsourcing “Servicio de Internet”
TSU. Angélica Cortés Cuahutencos TSU. Carina Cuautle Ramos TSU. Maria Esther Galícia Xochitemol TSU. Guadalupe Jimenez Nieves TSU. Areli Rojano Calixto 10° “A”

Noviembre-2010

AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” ÍNDICE

Universidad Tecnológica de Huejotzingo

PLANEACIÓN ........................................................................................................................... 5 Planeación de la Auditoria Outsourcing .............................................................................. 6 Objetivos ................................................................................................................................ 7 Objetivos Generales ............................................................................................................ 7 Objetivos Específicos .......................................................................................................... 7 Estudio de la Evaluación del Control Interno ...................................................................... 8 Gestión Administrativa ......................................................................................................... 8 Gestión Informática.............................................................................................................. 9 Métodos Aplicables para su Documentación .....................................................................11 Planeación Detallada ............................................................................................................11 Cuestionario de Control Interno ..........................................................................................14 Encuesta del Servicio de Internet a Usuarios .....................................................................19 Listado de Verificación de Auditoria Outsourcing .............................................................21 Planilla de Decisiones Preliminares ....................................................................................26 Recursos a Utilizar en la Auditoria ......................................................................................30 Cronograma de Actividades ................................................................................................31 Peso Porcentualde cada Área a Evaluar .............................................................................32 Referencias de Auditoría ......................................................................................................33 Marcas de Auditoría..............................................................................................................34 Metodología y Procedimientos ............................................................................................34 Métodos de Prueba ...............................................................................................................35 Situaciones Alternas ............................................................................................................35 Asignación de Recursos y Sistemas Computacionales para la Auditoría........................35

Página 3

........................................... 55 Gráfica 6................ 36 Cuestionario de Control Interno ............................................................................................................................. 56 Gráfica 7.................................................................. 53 Gráfica 4.................................... 75 ÍNDICE DE GRÁFICAS Gráfica 1............................................................. Evaluación del Servicio de Internet (Alumnos) ................................................................................................ Evaluación de Acceso a Internet (Alumnos) .................................. 52 Gráfica 3.................... 58 Gráfica 9......... 51 Gráfica 2................................. 59 Gráfica 10......................66 ANEXOS.................................................................... Evaluación de Fallos en el Acceso a Internet (Alumnos) ........................................... 60 Página 4 ............ 50 RECOMENDACIONES ...............................................................37 Listado de Verificación de Auditoria Outsourcing .................................................................................................. Evaluación del Servicio de Internet (Alumnos) ................................................. Evaluación de Laboratorios (Alumnos)........................................................................................................................ Evaluación de Unidad Informática (Profesores) ...................................... Evaluación de Laboratorios (Profesores) ...................................... Evaluación de Acceso a Internet (Profesores) ................................................................................... 54 Gráfica 5.................... 57 Gráfica 8...AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo DESARROLLO .... 61 Evaluación de Unidad Informática Aplicando Modelo de Madurez para la Administración y el Control de los Procesos de TI ...........................63 Recomendaciones .............................................................. Evaluación de Fallos en el Acceso a Internet (Profesores) ...............47 Resultados de las Encuestas ...................................42 Reporte de Hallazgos ................................................................................................ Evaluación de Unidad Informática (Alumnos)...............

Planeación .

C FECHA DE AUDITORIA DIRECCIÓN TELÉFONO UTH981027 UTH981027U28 12 de Octubre al 28 de Octubre 2010 Camino Real a San Mateo s/n. Puebla 01 (227) 27 5 9300.F. Huejotzingo. Página 6 .R.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo PLANEACIÓN DE LA AUDITORIA OUTSOURCING Universidad Tecnológica De Huejotzingo EMPRESA Departamento de Unidad Informática R.C N. Santa Ana Xalmimilulco.

cumpliendo con los objetivos planteados. OBJETIVOS ESPECÍFICOS Conocer la situación actual del servicio de internet. Conocer las políticas y procedimientos para la contratación del servicio Outsourcing Evaluar los contratos. y con ello logremos formular el informe de la auditoria outsourcing adecuado.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” OBJETIVOS OBJETIVOS GENERALES Universidad Tecnológica de Huejotzingo Evaluar el funcionamiento del servicio de Internet que se distribuye a los usuarios pertenecientes a la Universidad Tecnológica de Huejotzingo. Página 7 . ANS (Acuerdo de Nivel de Servicio) e INS (Indicadores de Nivel de Servicio) establecidos con el proveedor del servicio outsouring. Evaluar si la Universidad Tecnológica de Huejotzingo cubre las necesidades de los usuarios que reciben el servicio de Internet. Evaluar el alcance de los procedimientos. a través de la identificación de deficiencias en el servicio proveído. lo cual nos permitirá identificar las deficiencias y ventajas del mismo para la mejora del servicio. Diseñar los procedimientos adecuados a efectuar en el desarrollo de la auditoría outsourcing. Identificar la existencia de normas utilizadas actualmente e implementar los modelos de referencia ITIL (IT Infraestructure Library) y COBIT (Control Objectives for Information and Related Technology) para la evaluación del servicio Outsourcing.

y si se generán reportes acerca de los logros y criterios de desempeño de los problemas encontrados. Conocer y analizar los procesos ejecutados y la estructura organizacional y administrativa del departamento de Unidad Informática. Identificar como se realiza el monitoreo de los ANS. Verificar si la administración promueve la capacitación y adiestramiento constante del personal del departamento de Unidad Informática. Página 8 . ANS e INS del servicio de internet. Verificar si la administración provee oportunamente los recursos necesarios para la adquisición del servicio de internet. Verificar el contrato. Verificar que las instalaciones donde labora el personal del departamento de Unidad Informática estén adecuadas a las necesidades y no representen peligro para los empleados y el hardware. 6. 2. 9. Verificar si se cuenta con un Manual de organización y funciones del personal que se encuentran en el departamento de Unidad Informática. 7. 10. Validar la existencia de cláusulas que permitan la gestión de los contratos y ANS dentro de la Universidad. 8. Verificar si la administración ha establecido políticas claras con respecto a la adjudicación de claves del sistema de control de acceso a internet. 4.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo ESTUDIO DE LA EVALUACIÓN DEL CONTROL INTERNO Esta fase constituye el inicio de la planeación y nos permite establecer una relación específica entre la calidad del control interno de la empresa y el alcance u objetivos de los procedimientos de la auditoria. por lo que se deben considerar los siguientes aspectos: GESTIÓN ADMINISTRATIVA 1. debido a que los resultados de esta fase son los que generan la verdadera orientación de las subsiguientes fases del proceso. 3. Verificar si las contrataciones del personal del departamento de Unidad Informática se han realizado con base a los criterios establecidos en el manual de funciones y cumplen con el perfil del puesto. 5.

Verificar el proceso realizado por medio de los sistemas de acceso a Internet. a.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” GESTIÓN INFORMÁTICA Universidad Tecnológica de Huejotzingo 1. Externa: Conocimiento e identificación de los usuarios de internet. La revisión y verificación de las Seguridades. Se verificará si se lleva un control de las operaciones realizadas. También se solicitará información correspondiente si se ha realizado en otras ocasiones auditorías al servicio de internet. mobiliario.   Integración de dominios. si se lleva un respaldo de información y un registro de los usuarios del departamento de unidad informática. Examinar la información preliminar correspondiente al departamento de Unidad Informática. Considerar otro punto de conocimiento general que involucre información sobre el servicio de internet proporcionado a los usuarios de la universidad. Seguridad Lógica. Verificar si existe una política de seguridad de red bien concebida y efectiva que pueda proteger los datos de la Universidad. la cual puede ser: a. Otros que se involucren dentro del rubro. los horarios y áreas en los cuales han utilizado el servicio de internet. Verificar si dicha política de seguridad ha sido diseñada específicamente para la universidad y hasta qué punto satisface las necesidades del usuario. Página 9 . equipos de cómputo. Conocimiento de las áreas e instalaciones físicas (materiales. laboratorios y otros) de la Universidad que tienen relación con el departamento de Unidad Informática. inmuebles. Interna: conocer los procesos que se realizan dentro de la Universidad Tecnológica de Huejotzingo para los cuales es utilizado el servicio de internet. b.    Control de acceso. 5. 7. 3. así como de los proveedores de dicho servicio y los contratos. 2. 4. 6. Restricciones de Páginas Web. Bloqueo de Puertos.

Instalaciones eléctricas. 17. 8. Verificar el ancho de banda que proporciona el proveedor a la Universidad Tecnológica de Huejotzingo. Página 10 . 12. verificar si existe algún documento escrito por medio del cual se autoricen dichas modificaciones o si las órdenes se efectúan solamente de manera verbal. Verificar si el usuario tiene una clave única para accesar a la red.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” b. Infraestructura. Seguridad Física. 13. Universidad Tecnológica de Huejotzingo  Otros involucrados dentro del rubro. cuyo daño pudiera afectar el funcionamiento general de la entidad en el caso de darse situaciones anómalas dentro de la red. Verificar si existen procedimientos y políticas en cuanto a la seguridad y protección de los usuarios que reciben el servicio de Internet. En el caso de que haya alguien de nivel superior que autorice los cambios y modificaciones. 10. Verificar cuales son los requerimientos que tiene la Universidad Tecnológica de Huejotzingo. es decir que nadie pueda tener acceso con la misma clave. Verificar el contrato existente entre la empresa que provee el servicio de Internet y la Universidad Tecnológica de Huejotzingo. Verificar la cantidad de usuarios que pueden tener acceso a la red inalámbrica. Verificar quienes están autorizados para realizar modificaciones en la red de la universidad y quien autoriza cada una de estas modificaciones. referente al servicio de acceso a internet. 9.    Ubicación de equipos. Verificar si existe una examinación periódicamente en la política de seguridad de red para ver si han cambiado los objetivos y las circunstancias de la red. así como la administración del mismo. 11. 15. 14. 16. y que la misma solo admita un usuario. Verificar si en la entidad se han establecido políticas con respecto a la creación de respaldos de la información más importante.

PLANEACIÓN DETALLADA El objetivo principal de la planeación detallada es estructurar de manera ordenada y lógica las actividades a ejecutar durante el proceso de auditoría. contestadas personalmente por el personal encargado del departamento de la unidad informática. será en primer lugar de tipo descriptiva o sea basada en la narración verbal de los procedimientos. es un esquema previo que dirige los pasos a seguir para realizar una auditoría de desempeño. seguridad de la información y las bases de datos. b. Software. por lo tanto. es decir. los procedimientos se documentarán a través del pre elaboración de preguntas. 2) Rubros a Examinar: Consiste en descomponer las partes integrantes del departamento de Unidad Informática en secciones manejables. seguridad física. b) Cuestionario: En segundo lugar. red eléctrica. personal del departamento de unidad informática. Página 11 . que son conocidas como cédulas narrativas. software para el acceso a internet. seguridad del personal. Segunda descomposición o detalle: Computadoras y periféricos asociados. usuarios del servicio. facilitando con ello el análisis integral y exhaustivo. Servicio. 3) Comparaciones: Se establecerán comparaciones sobre el actual funcionamiento del departamento de Unidad Informática y las especificaciones de cómo debería funcionar. Primera descomposición: Hardware. para establecer si las actividades que están realizando son adecuadas.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo MÉTODOS APLICABLES PARA SU DOCUMENTACIÓN El tipo de métodos que contempla la empresa Solution Corp para implementar la auditoría outsourcing son los siguientes: a) Descriptivo: La documentación utilizada durante la auditoría. Seguridad. c) Encuestas: Aplicadas a los usuarios que reciben el servicio de Internet para conocer el grado de satisfacción con respecto al mismo. a. con el propósito de obtener resultados correctos y claros. contemplando los siguientes apartados: 1) Objetivos: Son aquellas metas que se esperan alcanzar al ejecutar la auditoría. establecer la base sobre la cual deben girar todos los procedimientos y fases pertenecientes a la auditoria. es decir. seguridad lógica. Personal. Instalaciones Eléctricas. para que la misma pueda llevarse a cabo de forma eficaz y efectiva. Red. la empresa Solution Corp tiene como principal objetivo identificar las deficiencias en el servicio de internet y ofrecer una mejora en el mismo.

Riesgo Inherente: Asociado con la generación de estimaciones sobre la existencia de hechos. la capacidad de generar opiniones similares a la suya. detectar la clase de riesgo que presenten cada una de las operaciones y procedimientos. son las circunstancias voluntarias por parte del mismo). cuando por la naturaleza de las mismas exista un documento que ampare las operaciones. su análisis parte de la naturaleza del Departamento de la Unidad Informática. exclusión o revelación textual pueda modificar la opinión sobre ellas. y las irregularidades. y pueden ser identificados como “eventos presuntos”. Estos riesgos se clasifican de la siguiente manera: a. (entiéndase como error. lo anterior es de criterio potencial por parte del auditor. con el fin de detectar posibles fallas y con base en ello. c. Riesgo de Detección: Vinculado directamente con la función de auditoría. cuyo conocimiento haga cambiar la opinión sobre ellos. se deben analizar y señalar aquellos conceptos cuyo impacto de su inclusión. y se conoce como la mayor o menor capacidad de efectividad de los procedimientos de la misma para descubrir errores o irregularidades que en condiciones normales deberían ser visualizadas. entre los usuarios de los sistemas informáticos. con el propósito de conocer las actividades a las cuales se dedica dicho departamento. en el cual se harán en su mayoría preguntas cerradas. en qué momento se realizan los procesos y por quienes se realizan. 6) Riesgos: Toda auditoría se encuentra impregnada por la posibilidad de que los aspectos a evaluar contengan errores o irregularidades de importancia no detectados.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” 4) Universidad Tecnológica de Huejotzingo Examen documental: se consolida como la base de la auditoría y el enlace entre la investigación y la emisión de una opinión e informe. Riesgo de Control: Este se disminuye a medida que se eleva la confianza en los métodos de control interno adoptados. Ello requiere de parte del auditor. 5) Margen de Importancia: Dentro de este apartado. Dichos datos servirán en su conjunto para la realización de la correspondiente planilla de decisiones preliminares y el programa de auditoría. quienes las efectúan. se diseñará un cuestionario de control interno. la inspección de los documentos anexos a cada operación del departamento de unidad informática. Página 12 . b. la ocurrencia u omisión de datos originados en circunstancias no voluntarias por parte de los encargados del departamento de Unidad Informática. y se define como la posibilidad de que el control interno no detecte o evite oportunamente errores o irregularidades de importancia. 7) Elaboración de cuestionario de control interno: Para conocer el funcionamiento Departamento de la Unidad Informática dentro de la Universidad.

se establecerá el tipo de riesgo (alto. a efectos de discutir. Nota: Toda la metodología y procedimientos detallados. ante la detección de errores cuyo impacto sea relevante. asimismo cualquier consulta o requerimiento se efectuará de forma escrita como constancia de realizado. hardware y dispositivos de red involucrados en el servicio de Internet. 13) Verificación documental de los servicios de internet. cuya mayor especificación. medio o bajo) que tiene cada una de las operaciones realizadas en el servicio de acceso a internet. quedan plasmadas en una guía de procedimientos. 12) Conocimiento sobre la existencia o ausencia del software. ampliar o sugerir sobre la forma de operar y aspectos que de manera inmediata sea necesario corregir. 17) Preparación del informe final de auditoría. luego de obtener los resultados del cuestionario de control interno. 15) Rendimiento de informes parciales o previos. 14) Documentación adecuada de hallazgos. se dejará constancia documental de los pasos a seguir en las diferentes áreas involucradas en el departamento. facilita su ejecución y comprobación de la misma. y con base en ellos se podrá establecer la profundidad con la que se examinarán cada uno de los rubros que componen dicho departamento. 16) Adición de notas oportunas sobre la atención u omisión de las observaciones a que se refiere el apartado anterior. 10) Verificación de generalidades concernientes a los documentos emitidos. 11) Análisis y validación de los documentos anexados que soportan las adquisiciones del servicio de internet a utilizarse por los diversos usuarios y del departamento de Unidad Informática. 9) Elaboración del programa de auditoría: Con posterioridad al conocimiento general del departamento y a la evaluación del control interno adoptado. las tareas programadas. Página 13 .AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” 8) Universidad Tecnológica de Huejotzingo Planilla de decisiones preliminares: En este documento. no inhiben de sostener reuniones periódicas o eventuales con la administración.

¿Hay un manual de organización y funciones aplicables a dicha área? 7. ¿El personal revisa la infraestructura de la red? 14. ¿Han recibido capacitaciones en el último año? INFRAESTRUCTURA DE LA RED 13. ¿Se tiene un organigrama específico? 6.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo CUESTIONARIO DE CONTROL INTERNO PREGUNTAS 1. ¿Están delimitadas las funciones de cada integrante del área Unidad Informática? 9. ¿Existe dentro de la Universidad un área de Unidad Informática? SI LA RESPUESTA FUE SI: 2. ¿Existen procedimientos de contratación. ¿Existe una persona nombrada como SI NO N/A OBSERVACIONES ASPECTOS RELACIONADOS AL DEPARTAMENTO DE UNIDAD INFORMÁTICA responsable de administrar las redes? 3. ¿En el último año se han revisado toda la infraestructura de la red? Página 14 . ¿Tiene muchos años laborando aquí? 12. ¿Existe un área o alguien a quién le rinden cuentas de su gestión? 4. ¿Está identificada dicha área dentro del organigrama general de la empresa? 5. ¿Cada empleado del área de Unidad Informática conoce la persona ante la que tiene que rendir cuentas de su labor? 10. para el personal de este departamento? 8. ¿Cada empleado del área de Unidad Informática es especialista en diferentes áreas de la red? 11.

¿Usa protocolos? 20. ¿La administración de redes implementa una política en base a la tecnología de red? 22. ¿Existen controles gestión para y procedimientos de proteger el acceso a las conexiones y servicios de red? 27. ¿Existe un plan que permite modificar en forma oportuna a largo plazo la tecnología de redes. ¿Existe un plan de infraestructura de redes? 16. ¿En alguna ocasión se ha generado Universidad Tecnológica de Huejotzingo SI NO N/A OBSERVACIONES problemas con la conexión del internet? 19. teniendo en cuenta los posibles cambios tecnológicos o en la institución? 25. y para proteger los sistemas conectados? 26. ¿En alguna ocasión se ha generado algún problema dentro de la infraestructura de la red? 17. ¿ Están establecidos controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas. ¿Considera usted que la infraestructura de la red se encuentra en buenas condiciones? 18. ¿Existe una topología de red estandarizada? Página 15 . ¿Tiene la Universidad contratado un especialista en redes? 21.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” PREGUNTAS 15. ¿Esta política es acorde con el plan de calidad de la organización? 23. ¿Existe un inventario de equipos y software asociados a las redes? 24.

¿Existen limitantes para el acceso a internet? 33. ¿Usted clasifica los riesgos por nivel de importancia y gravedad de la perdida? 31. ¿Se permite el acceso a la red por personal no autorizado? 37. ¿Existen algunas restricciones para los Universidad Tecnológica de Huejotzingo SI NO N/A OBSERVACIONES ASPECTOS RELACIONADOS A LA SEGURIDAD usuarios? 29. ¿Existe protección ante algún robo? 41. ¿Utilizan antivirus o alguna otra medida para la protección de la información? Página 16 . ¿Existe un programa de mantenimiento para la red? 39. ¿Existe una persona responsable de la seguridad? 35. ¿Identifica el tipo de amenaza que afecta los recursos de la red? 30.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” PREGUNTAS 28. ¿Existe una clara definición de funciones entre los puestos clave? 36. ¿Se lleva a cabo tal programa? 40. ¿Le han dado clave para ingresar al sistema? 32. ¿Existen medidas de seguridad respecto a copias ilegales? 42. ¿Se han adoptado medidas de seguridad en el departamento de sistemas de información? 34. ¿Existen medidas de seguridad física? 38.

seguridad. ¿Dentro del contrato se establece ANS? 46. ¿La administración y control de la red se acoplan a la prestación de servicios outsourcing? Página 17 . ¿El departamento de unidad informática es el encargado de efectuar la contratación del servicio de internet? 51. ¿Existe un plan de retorno en caso de que el proveedor no cubra las necesidades del servicio? 49. ¿Existen penalizaciones dentro del contrato? 47. ¿Existe un contrato para el servicio de internet? 44. ¿La empresa proveedora ofrece una ventaja económica para la universidad? 53. tipo de servicio y todos los detalles inherentes a la prestación del servicio? 45. ¿Ofrece calidad en el servicio la empresa proveedora? 52. ¿La infraestructura de la red es la adecuada para la prestación del servicio outsourcing? 54. ¿Existe un análisis previo para el contrato de servicio de internet que cubra las Universidad Tecnológica de Huejotzingo SI NO N/A OBSERVACIONES ASPECTOS RELACIONADOS AL OUTSOURCING necesidades de la institución? 50. ¿El contrato contempla cláusulas de servicio. ¿Tiene conocimiento de lo que es un Plan de Retorno? 48.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” PREGUNTAS 43. costo.

¿La comunicación entre el proveedor y el departamento de la unidad informática es eficiente y eficaz? 56.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” PREGUNTAS 55. ¿Existe una renovación de contrato en cuanto al servicio de internet? 62. ¿Los usuarios pueden opinar sobre el servicio de internet? 63. ¿Se realiza periódicamente una evaluación para determinar que el servicio outsourcing cubra las necesidades de la institución? 59. ¿Se realizan evidencias de los fallos que se presentan en el servicio de internet? 60. ¿La empresa outsourcing proporciona equipo adicional para brindar un buen servicio a la universidad? 61. ¿Se lleva a cabo un seguimiento del funcionamiento del servicio de internet por parte de la empresa proveedora? 58. ¿Se lleva a cabo un seguimiento de estas sugerencias? Universidad Tecnológica de Huejotzingo SI NO N/A OBSERVACIONES Nombre: ___________________________________________________________ Cargo: _____________________________________________________________ Página 18 . ¿La empresa proveedora es confiable en cuanto al servicio que está proporcionando a la universidad? 57.

4. La instalación del cableado lo consideras: Página 19 . y con ello identificar las deficiencias del mismo. ¿Cubre tus necesidades académicas? 11. 6. 7. ¿Cómo calificas en número de equipos de cómputo existentes? 14. ¿Cómo calificarías el equipo de cómputo de los laboratorios? 13. No Cumple PREGUNTAS 1. ¿Cómo consideras el servicio de internet? ¿Cuál es su grado de satisfacción general con el servicio? ¿Cómo califica el proceso para obtener una cuenta de Internet Inalámbrico? La página de inicio para obtener acceso a la red es: ¿Cómo califica la conexión del Internet Inalámbrico? ¿Consideras que la seguridad con la que cuenta es? Considera que la cobertura del servicio de Internet Inalámbrico es: ¿Cómo consideras la restricción al acceso a páginas web? La velocidad utilizada en la transmisión de internet la consideras: 1 2 3 4 5 10. 3. 2. 5. 1. Regular 4. 9. Contesta y califica en una escala del 1 al 5. 8. Excelente 2. Deficiente 5. El antivirus con el que cuentan los equipos de cómputo lo consideras: 16. La disponibilidad con la cuentan los laboratorios es: 15. Bueno 3. ¿Los tiempos de respuesta son? 12.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo ENCUESTA DEL SERVICIO DE INTERNET A USUARIOS Carrea o Área La presente encuesta tiene como objetivo evaluar el servicio de internet proporcionado a los alumnos (usuarios) de la Universidad Tecnológica de Huejotzingo.

¿Conoce los servicios que tiene al adquirir una cuenta para el acceso a Internet? 26. ¿Requiere una cuenta para acceder a este servicio? 24. PREGUNTAS 17. ¿Conoce el horario del personal responsable de la Universidad Tecnológica de Huejotzingo SI NO COMENTARIO administración de la red? 22. Su cuenta siempre está disponible 29. ¿Tiene conocimiento de las restricciones y privilegios que tiene al adquirir una cuenta para el acceso a Internet? 27. ¿Consideras que el servicio de internet debe estar disponible a cualquier hora y para cualquier usuario? 31. Si tuvieras alguna queja ¿sabes con quien y donde presentarla? 34. ¿Conoces el departamento de Unidad Informática? 18. ¿Sabes dónde se encuentra? 19. ¿Sabes quién es la persona responsable? 21. Tiene acceso a cualquier tipo de página web. ¿Los problemas existentes afectan la realización de su trabajo? 33. ¿Crees que la ubicación de la unidad informática es de fácil acceso? 20. ¿Utilizas con frecuencia el servicio de Internet? 23. ¿Solo usted tiene acceso a esta cuenta? 28. con la cuenta que ha adquirido 30.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Contesta solo sí y no. ¿Existen problemas al conectarse a internet? 32. ¿Conoce el proceso que se realiza para adquirir dicha cuenta? 25. ¿Tienen la suficiente confianza como para presentar su queja sobre fallas en el acceso de internet? Página 20 .

Se establecen las funciones para cada rol en el área de unidad informática. Se tienen establecidos los modelos de elaboración para la percepción de servicios.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo LISTADO DE VERIFICACIÓN DE AUDITORIA OUTSOURCING Acuerdo del Nivel de Servicios en la Adquisición de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: El nivel de servicio de internet es el requerido para cubrir con las necesidades de la institución. Existe la evidencia de los problemas que se presentan en cuanto a la prestación del servicio. Se encuentran definidos los derechos y responsabilidades de tanto a usuarios como personal administrativo. Se identifican políticas que definan acuerdos del nivel del servicio. El contrato puede replantearse para mejoras de recepción de servicio. Supervisión y control continúa de los 100% Excelente 80% Bueno 60% Regular 40% Mínimo 20% No cumple servicios prestados a usuarios. Se encuentran definidos los servicios que deben percibir los usuarios y administrativos. Se encuentran documentados los servicios prestados a los distintos tipos de usuarios. Se consideran la participación de los usuarios en cuanto al nivel del servicio percibido por los mismos. Se cumplen con los acuerdos externos e internos establecidos en el contrato. Página 21 .

El servicio de internet que proporciona y cubre las expectativas de los usuarios. Las características de la Red para el servicio de internet son: Los componentes físicos de la red cumplen con las características para brindar servicio de internet. Las configuraciones. tipos y cobertura de las redes están adecuadas para el servicio de internet.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Evaluar y calificar el cumplimiento de los siguientes aspectos: Se tienen modelos de evaluación para la obtención de la calidad de los servicios de internet. topologías. 100% Excelente 80% Bueno Universidad Tecnológica de Huejotzingo 60% Regular 40% Mínimo 20% No cumple Verificación de los Componentes para el Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: El objetivo de la red cumple con lo 100% Excelente 80% Bueno 60% Regular 40% Mínimo 20% No cumple establecido para brindar un buen servicio. La conectividad y las comunicaciones de la red son adecuadas para el servicio de internet. Página 22 . La seguridad de acceso al servicio de internet. La administración de la red de Cómputo es adecuada para el brindar el servicio de internet. Los protocolos de comunicación interna de la red permiten un servicio de internet. Se identificaron medidas encaminadas al funcionamiento de las normas.

AUDITORIA OUTSOURCING “SERVICIO DE INTERNET”

Universidad Tecnológica de Huejotzingo

Evaluación de la Seguridad en el Acceso al Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: 100% Excelente 80% Bueno 60% Regular 40% Mínimo 20% No cumple

La distribución del direccionamiento de IP. Seguridad de direccionamiento de IP. Se monitorean los atributos de acceso al servicio de internet. Los niveles de acceso al servicio de

internet son evaluados. La administración de contraseñas al servicio de internet lleva a cabo un proceso de monitoreo. El monitoreo en el acceso al servicio de internet es evaluado. Las funciones del administrador del

acceso al servicio de internet se evalúan. Evaluar las medidas preventivas o

correctivas en caso de siniestros en el acceso. Evaluación de la Seguridad en el Acceso al Área Física Evaluar y calificar el cumplimiento de los siguientes aspectos: Evaluar el acceso restringido de personal al centro de cómputo. Evaluar las medidas preventivas o 100% Excelente 80% Bueno 60% Regular 40% Mínimo 20% No cumple

correctivas en caso de siniestro en el centro de cómputo. Analizar las políticas de la instalación en relación con los accesos al departamento.

Página 23

AUDITORIA OUTSOURCING “SERVICIO DE INTERNET”

Universidad Tecnológica de Huejotzingo

Evaluación de la Seguridad en los Sistemas Computacionales para el Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: Evaluar el rendimiento y uso del sistema computacional asociados. Evaluar la existencia, protección y y de sus periféricos 100% Excelente 80% Bueno 60% Regular 40% Mínimo 20% No cumple

periodicidad de los respaldos de bases de datos, software e información importante de la institución. Evaluar seguridad la configuración, instalaciones del equipo de y

cómputo,

mobiliario y demás equipos. Evaluar el rendimiento, aplicación y utilidad del equipo de cómputo, mobiliario y demás equipos. Evaluar la seguridad en el procesamiento de información. Evaluación de la Protección de la Información Evaluar y calificar el cumplimiento de los siguientes aspectos: Medidas preventivas. Limitación de accesos. Protección contra robos Protección ante copias ilegales Evaluación de la Protección contra Virus Informáticos Evaluar y calificar el cumplimiento de los siguientes aspectos: Medidas preventivas y correctivas.
Página 24

100% Excelente

80% Bueno

60% Regular

40% Mínimo

20% No cumple

100% Excelente

80% Bueno

60% Regular

40% Mínimo

20% No cumple

AUDITORIA OUTSOURCING “SERVICIO DE INTERNET”
100% Excelente 80% Bueno

Universidad Tecnológica de Huejotzingo

Evaluar y calificar el cumplimiento de los siguientes aspectos: Uso de vacunas y buscadores de virus. Protección de información. archivos, programas e

60% Regular

40% Mínimo

20% No cumple

Evaluación de la Seguridad del Hardware Evaluar y calificar el cumplimiento de los siguientes aspectos: Realización de inventarios de hardware, 100% Excelente 80% Bueno 60% Regular 40% Mínimo 20% No cumple

equipos y periféricos asociados. Evaluar la configuración del equipo de

cómputo (hardware). Evaluar el rendimiento y uso del sistema computacional y sus periféricos asociados. Evaluar el estado físico del hardware,

periféricos y equipos asociados Evaluación de la Seguridad del Software Evaluar y calificar el cumplimiento de los siguientes aspectos: Realización de inventarios de software, 100% Excelente 80% Bueno 60% Regular 40% Mínimo 20% No cumple

paqueterías y desarrollos empresariales. Evaluar las licencias permisos y usos de los sistemas computacionales. Evaluar el rendimiento y uso del software de los sistemas computacionales. Verificar que la instalación del software, paqueterías y sistemas desarrollados en la empresa sea la adecuada para cubrir las necesidades de esta última.

Página 25

Página 26 . Computadoras y Hardware Periféricos Asociados Que se esté utilizando con los fines para los cuales fue adquirido. Verificar que los dispositivos estén parte de dispositivos de red. con los fines para los cuales fue adquirido.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” PLANILLA DE DECISIONES PRELIMINARES SOLUTION CORP NOMBRE DEL CLIENTE: PERÍODO A AUDITAR : RUBRO ÁREA FACTORES DE RIESGO Universidad Tecnológica de Huejotzingo Universidad Tecnológica de Huejotzingo. Redes Dispositivos Que se esté utilizando Universidad. Departamento de la Unidad Informática 12 de Octubre al 28 de Octubre de 2010 EVALUACIÓN DE RIESGOS INHERENTE CONTROL DETECCIÓN PROCEDIMIENTOS SEGÚN FACTORES DE RIESGO Revisar encuentra que el hardware que se ALCANCE DE LOS PROCEDIMIENTOS inventariado como Se revisará el 100% de los bienes inventariados como hardware. se encuentre en el lugar como correspondiente. estén siendo aprovechados al máximo y utilizando como corresponde. Revisar que los dispositivos Se revisará el 100% de inventariados como adquisiciones de la los bienes inventariados Que haya extravío. Verificar que los diversos componentes del hardware. parte del Que haya extravío. siendo aprovechados al máximo y se estén utilizando como corresponde. se encuentre en el lugar correspondiente. adquisiciones de la universidad.

Mejorar los procedimientos implementados en la realización de las diferentes tareas. Identificar en cada uno de los elementos los factores de riesgos. Los métodos. incluido a todo el personal del área. para obtener mayor seguridad en las aplicaciones. funcionando adecuadamente. Página 27 . rutina. procedimientos y medidas de seguridad y protección de los sistemas operativos. paquetería.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” RUBRO ÁREA FACTORES DE RIESGO Que los empleados del área de Personal Personal informática no estén EVALUACIÓN DE RIESGOS INHERENTE CONTROL DETECCIÓN Universidad Tecnológica de Huejotzingo PROCEDIMIENTOS SEGÚN FACTORES DE RIESGO ALCANCE DE LOS PROCEDIMIENTOS del recibiendo las capacitaciones necesarias con el propósito Se verificarán los registros que la empresa tiene sobre las respectivas capacitaciones recibidas por los En las revisiones si en se se las ha Departamento de verificará Unidad de actualizarlos y se vayan quedando desactualizados capacitaciones Informática empleados del área de informática. para mitigarlos. y demás software Software para la del sistema no estén Software administración de la red Que el software usado por la entidad esté resguardado en un lugar libre de humedad o de mucho calor para evitar que se deteriore y se Revisar las condiciones del lugar en que se encuentra resguardado el software. La verificación se hará por una sola vez y con la autorización del encargado del departamento. frente a los nuevos avances tecnológicos. convierta en inservible.

Red Eléctrica Que las instalaciones Se verificará con la ayuda de un electricista que las instalaciones eléctricas condiciones cumplan con las de Se aplicará a un 15% de las instalaciones a las que está conectado el equipo del sistema informático de la entidad. mínimas funcionamiento y que todavía no sean obsoletas. debidamente se encuentra conectado el equipo informático estén debidamente Se aplicará al 100% de los tomas. Que los componentes de la Seguridad Física red estén ubicados en un área que no cumplen con las condiciones ambientales. válidos. Se efectuará al 100% de los computadores. Seguridad Seguridad Lógica Robo de información El acceso a usuarios no Verificar que el ingreso a usuarios sea solo aquellos que estén mínimas Verificar que los equipos no estén ubicados muy cerca de espacios húmedos o que el calor sea mucho.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” RUBRO ÁREA FACTORES DE RIESGO EVALUACIÓN DE RIESGOS INHERENTE CONTROL DETECCIÓN Universidad Tecnológica de Huejotzingo PROCEDIMIENTOS SEGÚN FACTORES DE RIESGO Verificar que los tomas a los cuales ALCANCE DE LOS PROCEDIMIENTOS Que los tomas eléctricos no Instalaciones Eléctricas estén polarizados. eléctricas ya no estén en óptimas condiciones de uso o ya sean obsoletas. registrados. Página 28 . Verificar que solo el personal autorizado pueda tener acceso a la información. polarizados con el fin de evitar sobrecargas eléctricas.

Página 29 . los Dispositivos él un corto circuito u otro siniestro.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” RUBRO ÁREA FACTORES DE RIESGO Que el equipo y esté en mal algún EVALUACIÓN DE RIESGOS INHERENTE CONTROL DETECCIÓN Universidad Tecnológica de Huejotzingo PROCEDIMIENTOS SEGÚN FACTORES DE RIESGO ALCANCE DE LOS PROCEDIMIENTOS Seguridad en la conectado Operación de Se verificará que los equipos estén correctamente conectados y que sean funcionales. personales de los usuarios. que están haciendo los usuarios. Seguridad Seguridad en las Telecomunicaci ones Se verificará si las máquinas se Que el internet para se esté fines encuentran en red. si todas tienen Se harán los utilizando acceso a internet y si se puede procedimientos a un 5% de monitorear en algún momento lo las máquinas. momento pueda originarse en Se aplicará al 100% de los equipos.

00 Página 30 .AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo RECURSOS A UTILIZAR EN LA AUDITORIA HUMANOS Auditor Senior Auditor Junior Auditores auxiliares Especialista en redes informáticas MATERIALES Folders Lapiceros Lápiz Computadoras (Laptop) Impresiones TIEMPO Se espera realizar la auditoría en el departamento de unidad informática.00 3.00 $ $ $ $ $ 5.25 $ $ $ $ 1500. debido a que es donde se encuentra ubicado el site que tiene un contacto directo con el proveedor del servicio de internet.00 3.00 400.00 $ 3.00 50.00 800.00 $ $ 160.00 500.00 $ TOTAL RUBRO $ $ $ $ $ TOTAL RUBRO TOTAL GENERAL MATERIALES 1 2 4 5 6 Folders Lápiz Lapiceros Computadoras (Laptop) Impresiones 5.00 2.00 100.00 100. RECURSO VALOR POR HORA HUMANOS VALOR TOTAL VALOR TOTAL RUBRO 1 2 3 4 Auditor Senior (30 horas hombre) Auditor Junior Auditores Auxiliares (2 personas) Especialista en redes $ $ $ 50.200. PRESUPUESTO PARA LA AUDITORIA No.00 2.00 1.00 3. Dicha auditoria se llevara en un periodo de 13 días.360.00 6.00 35.00 30.

Entrega de resultados de la auditoria. Auditor Senior Auditor Junior Auditor Auxiliar Especialista en Redes Auditor Auxiliar Auditor Senior. Evaluación de la auditoria del control interno. Visita al encargado de control interno para contestar el cuestionario. Especialista en Redes Auditor Senior Página 31 28 No .AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” CRONOGRAMA DE ACTIVIDADES SERVICIO DE INTERNET DE LA UNIVERSIDAD TECNOLÓGICA DE HUEJOTZINGO Universidad Tecnológica de Huejotzingo PUESTO Auditor Senior Auditor Junior Auditor Auxiliar Especialista en Redes Auditor Auxiliar NOMBRE DE LA PERSONA TSU Areli Rojano Calixto TSU María Esther Galicia Xochitemol TSU Angélica Cortes Cuahutencos TSU Carina Cuautle Ramos TSU Guadalupe Jiménez Martínez 12 13 14 15 18 19 20 21 22 25 26 27 1 2 3 4 5 6 7 Elaboración del Plan de Auditoría. Desarrollo del Informe de Auditoría. Recomendaciones de la auditoria. Auditor Auxiliar Auditor Auxiliar. Elaboración de Cuestionario de Control Interno. OCTUBRE ACTIVIDAD O TAREA RESPONSABLES .

3. 15. 5. 17. tanto redes como terminales. Seguridad de cumplimiento de normas y estándares. 2. 19. 7. Seguridad física de los sistemas informáticos y ambiental Seguridad lógica del sistema Seguridad de la información y las bases de datos Seguridad en el acceso y uso del software Seguridad en la operación del hardware Seguridad en la Red inalámbrica Seguridad de Sistema Operativo Seguridad de Base de Datos. 13. 18. Sistemas de seguridad (de equipos y de sistemas. 8. 10. 12.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo PESO PORCENTUAL DE CADA ÁREA A EVALUAR No. 21. 6. Seguridad de Comunicaciones y operaciones Monitoreo de eventos y alarmas FINANZAS 1% 2% 2% 2% 2% 10% 3% 2% 4% 4% 4% 4% 4% 4% 4% 2% 4% 3% 4% 4% 2% 22. 14. 16. 24. Clasificación y control de recursos Plan de continuidad del negocio Cumplimiento de normatividad legal TOTAL Página 32 2% 2% 25% 100% . 23. 20. 11. incluyendo todos los elementos. Laboratorios de computo Políticas de seguridad (Estándares) Infraestructura (localización del cableado) Encriptación Protocolos de comunicación Restricción en el uso del Internet Seguridad del Personal del departamento de Unidad Informática Usuarios del sistema informático (Para cuantas personas es la red inalámbrica) capacidad de la red Seguridad de Aplicaciones. ÁREA A EVALUAR DEPARTAMENTO DE UNIDAD INFORMÁTICA PONDERACIÓN 1. 4. 9.

tanto redes como terminales. Seguridad de Comunicaciones y operaciones Monitoreo de eventos y alarmas Clasificación y control de recursos Plan de continuidad del negocio Cumplimiento de normatividad legal Página 33 . Seguridad de cumplimiento de normas y estándares. Sistemas de seguridad (de equipos y de sistemas. Seguridad física de los sistemas informáticos y ambiental Seguridad lógica del sistema Seguridad de la información y las bases de datos Seguridad en el acceso y uso del software Seguridad en la operación del hardware Seguridad en la Red inalámbrica Seguridad de Sistema Operativo Seguridad de Base de Datos.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” REFERENCIAS DE AUDITORÍA REFERENCIAS DE AUDITORÍA A B C D E F G H I J K L M N O P Q R S T U V W X Universidad Tecnológica de Huejotzingo DESCRIPCIÓN DE LA MARCA Laboratorios de computo Políticas de seguridad (Estándares) Infraestructura (localización del cableado) Encriptación Protocolos de comunicación Restricción en el uso del Internet Seguridad del Personal del departamento de Unidad informática Usuarios del sistema informático (Para cuantas personas es la red inalámbrica) capacidad de la red Seguridad de Aplicaciones. incluyendo todos los elementos.

En primer lugar se visitará al cliente.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” MARCAS DE AUDITORÍA MARCAS DE AUDITORÍA ₤ ∫ ∆ ¥ ℓ £ ₣ Universidad Tecnológica de Huejotzingo DESCRIPCIÓN DE LA MARCA Obtenido por el encargado del departamento Obtenido de otros documentos Obtenido de terceros Obtenido de empleados del área de informática Cotejado con el inventario Verificado por el auditor Verificado por el Técnico en Redes METODOLOGÍA Y PROCEDIMIENTOS El análisis se llevara a cabo mediante la infraestructura actual con la que cuenta la Universidad de Huejotzingo. Se llevará a cabo la evaluación de servicio de internet que existe en la institución. vulnerabilidades que puedan presentarse en algunas de las áreas a evaluar. Se analizarán los datos. evaluando el tipo de riesgo que presenta cada área y definiendo algunos procedimientos que serán necesario realizar. que nos ayude a identificar riesgos. para identificar la magnitud de los procedimientos a desarrollar y tener un acercamiento con los involucrados en administración e infraestructura de la red. Con los resultados obtenidos de la evaluación del servicio de internet. Se elaborará un plan de auditoría sobre el servicio de internet que brinda la institución. y se elaborará el informe de auditoría que será presentado al cliente. 5. quienes brindan el servicio de internet a usuario de la institución. a través de lo siguiente: 1. 3. 2. 4. para identificar las posibles áreas que presenten riesgos dentro de la organización y que afecten el servicio de internet. Además se elaborara el cuestionario para la evaluación de servicios de internet. con el cual se buscará recabar información. Página 34 . 6. con el fin de obtener la evidencia suficiente y competente que sirva para la elaboración del informe de auditoría. en el lugar de trabajo con el propósito de solicitar al personal involucrado. que respondan el cuestionario. en el lugar donde se realizará la auditoria. se elaborará una planilla de decisiones preliminares. Se visitará los centros de trabajo para realizar los procedimientos de auditoría necesarios.

con el propósito de no entorpecer las labores cotidianas. por otro lado en lo concerniente a las instalaciones eléctricas. senior de nuestra empresa para que puedan en ellas realizar los respectivos procedimientos de auditoría y la anotación de los aspectos importantes. se les pedirá que nombren a una persona. con la presencia de un funcionario o empleado de confianza. quien será responsable de su custodia. Se harán pruebas. que pueda revisar los bienes de los empleados. También servirá para el análisis de los resultados y la elaboración del informe de auditoría. se verificará si existe alguna forma alterna de asegurar que los empleados no retiren los bienes de la empresa. A si mismo se verificara que la red cuente con la seguridad requerida para el buen funcionamiento en el servicio de internet. que algunos procedimientos se puedan realizar fuera de la jornada laboral. realizando operación que verifiquen la que la administración de la red. así como el registro de la evidencia en su orden. con el fin de verificar que estén en buen estado y se tratará de provocar fallas al sistema eléctrico. SITUACIONES ALTERNAS En el caso de que todos los equipos estén constantemente ocupados. En ellos se verificará que los auditores contratados para las diferentes áreas pongan a prueba los servicios de internet brindados por la institución. Se tratará desde una computadora. Areli Rojano Calixto. para verificar su vulnerabilidad. En el caso de no haber vigilante. de preferencia del área de informática para que. serán asignadas a los dos auditores. La papelería será utilizada para la elaboración y resguardo de los papeles de trabajo y estarán en manos del auditor senior TSU.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” MÉTODOS DE PRUEBA Universidad Tecnológica de Huejotzingo Se solicitará a los auditores que desarrollen los procedimientos expresados en el plan de auditoría. En el caso de que al momento de la auditoría no se encuentren los funcionarios que nos hayan contratado. así como también la infraestructura física y lógica de la red. Página 35 . Por lo tanto lo que se verificará es la seguridad que ofrezca el sistema. ASIGNACIÓN DE RECURSOS Y SISTEMAS COMPUTACIONALES PARA LA AUDITORÍA Las laptop de nuestra empresa. se buscará la forma de que se autorice. accesar a otras que no se debiera tener acceso con el fin de verificar su vulnerabilidad. dé fe del trabajo que se está realizando y se mantenga la transparencia.

Desarrollo .

¿Se tiene un organigrama específico? 6. ¿Hay un manual de organización y funciones aplicables a dicha área? 7. redes telefonía 7 años x No enfocadas al área x INFRAESTRUCTURA DE LA RED 13. de Administración de Finanzas Ernesto Aguirre x x x responsable de administrar las redes? 3. ¿Existe un área o alguien a quién le rinden cuentas de su gestión? 4. ¿Existen procedimientos de contratación. ¿Existe dentro de la Universidad un área de Unidad Informática? SI NO N/A OBSERVACIONES Pero internamente se conoce como Centro de TI ASPECTOS RELACIONADOS AL DEPARTAMENTO DE UNIDAD INFORMÁTICA x SI LA RESPUESTA FUE SI: 2. ¿Existe una persona nombrada como x Lic.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo CUESTIONARIO DE CONTROL INTERNO PREGUNTAS 1. ¿En el último año se han revisado toda la infraestructura de la red? x x 2 veces al año Junio. realizan evidencias Página 37 . ¿Cada empleado del área de Unidad x x Recursos Humanos x Verbalmente Informática conoce la persona ante la que tiene que rendir cuentas de su labor? 10. ¿Están delimitadas las funciones de cada integrante del área Unidad Informática? 9. ¿El personal revisa la infraestructura de la red? 14. para el personal de este departamento? 8. ¿Han recibido capacitaciones en el último año? x Mantenimiento. ¿Tiene muchos años laborando aquí? 12. ¿Cada empleado del área de Unidad x Verbalmente Informática es especialista en diferentes áreas de la red? 11. OLaff Hernández Juárez IT Manager Dir. ¿Está identificada dicha área dentro del organigrama general de la empresa? 5.

¿Esta política es acorde con el plan de calidad de la organización? 23. ¿La administración de redes implementa una política en base a la tecnología de red? 22. ¿Existen controles gestión para y procedimientos de x contraseñas en servidores. y para proteger los sistemas conectados? 26. ¿Existe un inventario de equipos y software asociados a las redes? 24.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” PREGUNTAS 15. ¿En alguna ocasión se ha generado Universidad Tecnológica de Huejotzingo SI NO N/A OBSERVACIONES Planeación Saturación de servicios x x (daños en el cableado) y ataques a la red x No son optimas Daños locales (85%) y del proveedor (15%) Anual TCP/IP. ¿En alguna ocasión se ha generado algún problema dentro de la infraestructura de la red? 17. ¿Existe un plan que permite modificar en forma oportuna a largo plazo la tecnología de redes. ¿Existe un plan de infraestructura de redes? 16. HTTPS FTP Ingeniero en Sistemas. ¿Usa protocolos? 20. ¿Tiene la Universidad contratado un x x especialista en redes? 21. ¿Existe una topología de red estandarizada? x Página 38 Estrella . HTTP. integridad del procesamiento de los datos que pasan a través de redes públicas. ¿ Están establecidos controles especiales para salvaguardar la confidencialidad e Control de acceso al sitio. Distribución Lógica proteger el acceso a las x Verbalmente conexiones y servicios de red? 27. teniendo en cuenta los posibles x Políticas de Seguridad y de Administración x Área de recursos Materiales x x Plan de Mantenimiento cambios tecnológicos o en la institución? 25. ¿Considera usted que la infraestructura de la red se encuentra en buenas condiciones? 18. TSU en Informática problemas con la conexión del internet? 19.

x x Firewall Página 39 . ¿Identifica el tipo de amenaza que afecta los recursos de la red? 30. ¿Existe una persona responsable de la seguridad? 35. ¿Usted clasifica los riesgos por nivel de x x x Ancho de banda y Servicios Señalética. ¿Se han adoptado medidas de seguridad en el departamento de sistemas de x información? 34. Seguridad Física y lógica Personal perteneciente a la Unidad Informática Prioridad x Análisis lógico y físico algunas restricciones para los x Firewall. ¿Existe protección ante algún robo? 41.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo PREGUNTAS SI NO N/A OBSERVACIONES ASPECTOS RELACIONADOS A LA SEGURIDAD 28. ¿Utilizan antivirus o alguna otra medida para la protección de la información? x x x x x Cada año y se aplica dos veces. ¿Existen medidas de seguridad respecto a copias ilegales? 42. ¿Existe una clara definición de funciones entre los puestos clave? 36. ¿Existen medidas de seguridad física? 38. acceso y filtrado importancia y gravedad de la perdida? 31. ¿Se lleva a cabo tal programa? 40. ¿Existen usuarios? 29. ¿Se permite el acceso a la red por x x personal no autorizado? 37. ¿Existen limitantes para el acceso a internet? 33. ¿Existe un programa de mantenimiento para la red? 39. ¿Le han dado clave para ingresar al sistema? 32.

¿El departamento de unidad informática es el encargado de efectuar la contratación del servicio de internet? 51. ¿Ofrece calidad en el servicio la empresa proveedora? 52. ¿Dentro del contrato se establece ANS? 46. ¿Existe un análisis previo para el contrato de servicio de internet que cubra las x Materiales x x x Por cada día sin servicio se gratifica 5% mensual Cheques cruzados 20% y penalizaciones x x Contratos anuales. ¿Existe un plan de retorno en caso de que el proveedor no cubra las necesidades del servicio? 49. seguridad.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo PREGUNTAS SI NO N/A OBSERVACIONES ASPECTOS RELACIONADOS AL OUTSOURCING 43. Disponibilidad x Economía x outsourcing? Página 40 . ¿Existen penalizaciones dentro del contrato? 47. ¿La empresa proveedora ofrece una ventaja económica para la universidad? 53. ¿El contrato contempla cláusulas de servicio. ¿La administración y control de la red se acoplan a la prestación de servicios x x x Solo sugiere o realiza una petición Tiempos de Respuesta. ¿La infraestructura de la red es la adecuada para la prestación del servicio outsourcing? 54. ¿Tiene conocimiento de lo que es un Plan de Retorno? 48. ¿Existe un contrato para el servicio de internet? 44. tipo de servicio y todos los detalles inherentes a la prestación del servicio? 45. costo. Gemtel proveedor actual x necesidades de la institución? 50.

¿La comunicación entre el proveedor y el departamento de la unidad informática es eficiente y eficaz? 56. ¿Los usuarios pueden opinar sobre el servicio de internet? 63. ¿La empresa outsourcing proporciona equipo adicional para brindar un buen servicio a la universidad? 61. ¿Se realizan evidencias de los fallos que se presentan en el servicio de internet? 60. ¿Existe una renovación de contrato en cuanto al servicio de internet? 62. ¿La empresa proveedora es confiable en cuanto al servicio que está proporcionando a la universidad? 57. ¿Se realiza periódicamente una evaluación para determinar que el servicio outsourcing cubra las necesidades de la institución? 59.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” PREGUNTAS 55. ¿Se lleva a cabo un seguimiento del funcionamiento del servicio de internet por parte de la empresa proveedora? 58. ¿Se lleva a cabo un seguimiento de estas sugerencias? x x x x x x Universidad Tecnológica de Huejotzingo SI NO N/A OBSERVACIONES No siempre es eficaz.Administrador de TI Página 41 . Olaff Hernández Juárez Manager IT. solo los que son importantes x x Nombre: Cargo: Lic. Olaff tiene comunicación con el proveedor Hace 2 años Cada 3 meses y si no se anota en un ticket Cada 3 meses Ticket soporte externo y x reporte escrito cuando el proveedor interviene Antenas de recepción Anualmente Buzón de quejas.

El contrato puede replantearse para mejoras de recepción de servicio. Se tienen establecidos los modelos de elaboración para la percepción de servicios. Existe la evidencia de los problemas que se presentan en cuanto a la prestación del servicio. Se identifican políticas que definan acuerdos del nivel del servicio. X X X X X X X Página 42 . Se consideran la participación de los X usuarios en cuanto al nivel del servicio percibido por los mismos. Se encuentran definidos los derechos y responsabilidades de tanto a usuarios como personal administrativo. Se encuentran definidos los servicios que deben percibir los usuarios y administrativos. Se establecen las funciones para cada rol en el área de unidad informática. Se encuentran documentados los servicios prestados a los distintos tipos de usuarios.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo LISTADO DE VERIFICACIÓN DE AUDITORIA OUTSOURCING Acuerdo del Nivel de Servicios en la Adquisición de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: El nivel de servicio de internet es el requerido para cubrir con las necesidades de la institución. Se cumplen con los acuerdos externos e internos establecidos en el contrato. Supervisión y control continúa de los X X X 100% Excelente 80% Bueno 60% Regular 40% Mínimo 20% No cumple X servicios prestados a usuarios.

tipos y cobertura de las redes están adecuadas para el servicio de internet. El servicio de internet que proporciona y cubre las expectativas de los usuarios.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Evaluar y calificar el cumplimiento de los siguientes aspectos: Se tienen modelos de evaluación para la obtención de la calidad de los servicios de internet. Los protocolos de comunicación interna de la red permiten un servicio de internet. Se identificaron medidas encaminadas al funcionamiento de las normas. topologías. La conectividad y las comunicaciones de la red son adecuadas para el servicio de internet. X 100% Excelente 80% Bueno Universidad Tecnológica de Huejotzingo 60% Regular 40% Mínimo 20% No cumple X Verificación de los Componentes para el Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: El objetivo de la red cumple con lo 100% Excelente 80% Bueno 60% Regular X 40% Mínimo 20% No cumple establecido para brindar un buen servicio. Las configuraciones. Página 43 X X X X X X X X . Las características de la Red para el servicio de internet son: Los componentes físicos de la red cumplen con las características para brindar servicio de internet. La seguridad de acceso al servicio de internet. La administración de la red de Cómputo es adecuada para el brindar el servicio de internet.

Analizar las políticas de la instalación en relación con los accesos al departamento. Seguridad de direccionamiento de IP. Se monitorean los atributos de acceso al servicio de internet. Las funciones del administrador del X X X acceso al servicio de internet se evalúan. Los niveles de acceso al servicio de X internet son evaluados. el cual también apoya en la administración de servicios. El monitoreo en el acceso al servicio de internet es evaluado. Página 44 . La administración de contraseñas al servicio de internet lleva a cabo un proceso de monitoreo.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo Evaluación de la Seguridad en el Acceso al Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: 1 100% Excelente 80% Bueno X X X 60% Regular 40% Mínimo 20% No cumple La distribución del direccionamiento de IP . Evaluar las medidas preventivas o X 100% Excelente 80% Bueno X 60% Regular 40% Mínimo 20% No cumple correctivas en caso de siniestro en el centro de cómputo. Evaluación de la Seguridad en el Acceso al Área Física Evaluar y calificar el cumplimiento de los siguientes aspectos: Evaluar el acceso restringido de personal al centro de cómputo. X 1 Se realiza mediante la implementación de un software.

Limitación de accesos. software e información importante de la institución. X mobiliario y demás equipos. X X Evaluación de la Protección de la Información Evaluar y calificar el cumplimiento de los siguientes aspectos: Medidas preventivas.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo Evaluación de la Seguridad en los Sistemas Computacionales para el Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: Evaluar el rendimiento y uso del sistema computacional asociados. aplicación y utilidad del equipo de cómputo. Protección contra robos Protección ante copias ilegales 100% Excelente 80% Bueno X X X X 60% Regular 40% Mínimo 20% No cumple Evaluación de la Protección contra Virus Informáticos Evaluar y calificar el cumplimiento de los siguientes aspectos: Medidas preventivas y correctivas. Evaluar seguridad la configuración. mobiliario y demás equipos. Evaluar el rendimiento. protección y X y de sus periféricos X 100% Excelente 80% Bueno 60% Regular 40% Mínimo 20% No cumple periodicidad de los respaldos de bases de datos. Evaluar la seguridad en el procesamiento de información. Página 45 100% Excelente 80% Bueno X 60% Regular 40% Mínimo 20% No cumple . instalaciones del equipo de y cómputo. Evaluar la existencia.

X periféricos y equipos asociados Evaluación de la Seguridad del Software Evaluar y calificar el cumplimiento de los siguientes aspectos: Realización de inventarios de software. Evaluar la configuración del equipo de X cómputo (hardware). Evaluar el rendimiento y uso del software de los sistemas computacionales.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” 100% Excelente 80% Bueno X X Universidad Tecnológica de Huejotzingo Evaluar y calificar el cumplimiento de los siguientes aspectos: Uso de vacunas y buscadores de virus. 100% Excelente 80% Bueno X 60% Regular X 40% Mínimo 20% No cumple paqueterías y desarrollos empresariales. Evaluar el estado físico del hardware. Protección de información. Evaluar las licencias permisos y usos de los sistemas computacionales. programas e 60% Regular 40% Mínimo 20% No cumple Evaluación de la Seguridad del Hardware Evaluar y calificar el cumplimiento de los siguientes aspectos: Realización de inventarios de hardware. 100% Excelente 80% Bueno 60% Regular X 40% Mínimo 20% No cumple equipos y periféricos asociados. X X X Página 46 . archivos. Evaluar el rendimiento y uso del sistema computacional y sus periféricos asociados. Verificar que la instalación del software. paqueterías y sistemas desarrollados en la empresa sea la adecuada para cubrir las necesidades de esta última.

se determinó que el servicio de internet proporcionado por la empresa Gemtel a la Universidad Tecnológica de Huejotzingo. R. Página 47 PO X PO X PO X v4. lo que ocasiona que dicha área sea desconocida. De Resultados: 01 Fecha de Auditoría Fecha de Reunión de Apertura: Fecha de Cierre: Del 12 a 28 de Octubre de 2010 12 de Octubre de 2010 28 de Octubre de 2010 22 de Octubre de 2010 110 ÁREA AUDITADAS Departamento de Unidad Informática Finanzas PROCESOS AUDITADOS Servicio Outsourcing Servicios Outsourcing HALLAZGOS DESCRIPCIÓN DE LA NO CONFORMIDAD FOLIO COBIT ITIL Especificar: Requerimientos (R). Incumplimiento (I). carece de los siguientes elementos: REPORTE DE AUDITORIA OUTSOURCING Auditoria Número: Fecha de Elaboración del Reporte: No. y el cuestionario de control interno aplicado al Lic.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” REPORTE DE HALLAZGOS Universidad Tecnológica de Huejotzingo De acuerdo al checklist. Internamente en el departamento no existe un organigrama 03 que indique los puestos del personal perteneciente a dicha área y por lo tanto también carece de un Manual de Organización y Funciones. El departamento de Unidad Informática es controlado por 02 del Área de Administración de Finanzas. Evidencia (E) DEPARTAMENTO DE UNIDAD INFORMÁTICA R. el cual no está completamente relacionada con dicho departamento. R.1 v3 MAYOR MENOR NO CONFORMIDAD . Olaff Hernández Juárez IT Manager del Departamento de Unidad Informática. El departamento de Unidad Informática no se encuentra en 01 el organigrama de la Institución. ya que dichas áreas son totalmente distintas.

R. R.. I.1 v3 MAYOR MENOR Especificar: Requerimientos (R). Los controles y procedimientos que protegen el acceso a ICT X 09 conexiones y servicios de red se establecieron verbalmente. SEGURIDAD R. debido que la Universidad Tecnológica no cuenta con el ancho de banda suficiente para que el servicio de internet cumpla las necesidades del usuario. La infraestructura de red se encuentra en buenas PO X 07 condiciones sin embargo no son óptimas para que se establezca un buen servicio de internet a los usuarios. sin embargo no existe un documento que sustente dichas funciones ya que estas se establecieron verbalmente. Página 48 PO X . es decir originados en la universidad. Incumplimiento (I). Una de las limitantes para el acceso de internet es el ancho PO X 10 de banda. Las funciones de cada integrante del área de Unidad 04 Informática están especificadas. I. Evidencia (E) R. no existe algún documento que sustente dichos controles y procedimientos. es decir. Los componentes físicos de la red no cubren todas las ES X 11 características de la red debido a que estos son adquiridos por que ofrecen una ventaja económica.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” DESCRIPCIÓN DE LA NO CONFORMIDAD FOLIO Universidad Tecnológica de Huejotzingo NO CONFORMIDAD COBIT ITIL v4. La mayoría de los problemas ocasionados en la conexión a PO ICT X 08 Internet son daños locales. E. SERVICIO OUTSOURCING AI X 12 R. No existe un Plan de Infraestructura de Redes. El personal de Unidad Informática recibe capacitación 2 PO X 05 veces al año si embargo dichas capacitaciones no están enfocadas a la función que ellos desempeñan en la Universidad Tecnológica de Huejotzingo INFRAESTRUCTURA DE LA RED PO X 06 E. R. No existe una comunicación eficaz entre el proveedor de servicios y la Universidad Tecnológica de Huejotzingo. R.

sin embargo es confiable desde hace dos años. hosting. DS X MARCO DE REFERENCIA A COBIT v4. Evidencia (E) R. internet de alta velocidad y acceso remoto dial up. Gemtel es una empresa dedicada a redes inalámbricas.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” DESCRIPCIÓN DE LA NO CONFORMIDAD FOLIO Universidad Tecnológica de Huejotzingo NO CONFORMIDAD COBIT ITIL v4. Incumplimiento (I). 13 dicha empresa tiene 4 años ofreciendo el servicio a la Universidad Tecnológica de Huejotzingo.1: Planear y Organizar (PO) Adquirir e Implementar (AI) Entregar y Dar Soporte (DS) Monitorear y Evaluar (ME) MARCO DE REFERENCIA A ITIL v3: Soporte de Servicio (SS) Entrega de Servicio (ES) Planes para Implantar la Gestión del Servicio (PIGS) Gestión de la Infraestructura y Comunicaciones de TI (ICT) Gestión de las Aplicaciones (GA) Perspectiva de Negocio (PN) Seguridad (S) Página 49 . debido a que mejoro el servicio ofrecido a la universidad.1 v3 MAYOR MENOR Especificar: Requerimientos (R).

Biblioteca). Laboratoristas. que se distribuye de la siguiente forma: TIPO DE USUARIOS PORCENTAJE JUSTIFICACIÓN Se eligió este porcentaje debido a que este tipo de Administrativos 2% usuarios recibe un mejor servicio por las funciones que desempeñan. Debido a que es la población que utiliza con mayor Alumnos 80% frecuencia el servicio de internet tanto inalámbrico como local. los cuales son clasificados de la siguiente manera:     Administrativos (Servicios Escolares. Son los usuarios que proporcionan el servicio de Laboratoristas 10% internet local al alumnado y que por lo tanto conocen con mayor facilidad las deficiencias que el servicio presenta. Alumnos. Página 50 . por lo que la afectación que les provoca el servicio outsourcing tiene menor impacto en el desarrollo de su actividades.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” RESULTADOS DE LAS ENCUESTAS Universidad Tecnológica de Huejotzingo Se llevó a cabo la aplicación de encuestas a los usuarios del servicio outsourcing. Profesores de Tiempo Completo (PTC) y Profesores de Asignatura (PA). Este tipo de usuarios utiliza el servicio en menor PTC y PA 8% cantidad. la empresa Solution Corp decidió encuestar al 5% de la población total estipulada con anterioridad. Contemplando que se cuenta con una población aproximada de 2000 usuarios que reciben el servicio de internet.

40. 41. 39. 45. de Rubro Gráfica 1. 44. Evaluación del Servicio de Internet (Alumnos) Página 51 Excelente Bueno Regular Deficiente No Cumple BUENO . 46. 37. 42. Resultados 30 25 20 15 10 5 0 1 2 3 4 5 6 7 8 9 10 11 12 No. 43.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Los resultados obtenidos de las encuestas son los siguientes: Universidad Tecnológica de Huejotzingo EVALUACIÓN DEL SERVICIO DE INTERNET (ALUMNOS) EXCELENTE NO CUMPLE 7 2 6 6 6 3 4 4 9 6 7 6 DEFICIENTE 15 17 17 15 20 11 18 19 23 11 20 20 REGULAR 32 41 30 27 30 37 40 26 26 28 30 25 No. 38. RUBRO 35. ¿Cómo consideras el servicio de internet? ¿Cuál es su grado de satisfacción general con el servicio? ¿Cómo califica el proceso para obtener una cuenta de Internet Inalámbrico? La página de inicio para obtener acceso a la red es: ¿Cómo califica la conexión del Internet Inalámbrico? ¿Consideras que la seguridad con la que cuenta es? Considera que la cobertura del servicio de Internet Inalámbrico es: ¿Cómo consideras la restricción al acceso a páginas web? La velocidad utilizada en la transmisión de internet la consideras: ¿Cubre tus necesidades académicas? ¿Los tiempos de respuesta son? ¿Cómo calificarías el equipo de cómputo de los laboratorios? 4 2 6 7 6 3 4 7 4 6 4 6 22 18 21 25 18 26 14 24 18 29 19 23 45 40 35 No. 36.

49. Rubro Gráfica 2. es decir. no cubre las necesidades de los usuarios al 100% sin embrago les permite llevar acabo la realización de sus actividades básicas. donde como resultado final se observa que el usuario logra cubrir la mayoría de sus necesidades con el servicio de internet con el que cuenta actualmente la institución. tales como la búsqueda de información a través de la navegación de internet. ¿Cómo calificas en número de equipos de cómputo existentes? La disponibilidad con la cuentan los laboratorios es: El antivirus con el que cuentan los equipos de cómputo lo consideras: La instalación del cableado lo consideras: 6 5 16 21 BUENO 35 19 29 23 26 19 28 18 4 2 10 6 11 14 7 21 35 30 25 No. EVALUACIÓN DE LABORATORIOS (ALUMNOS) EXCELENTE NO CUMPLE DEFICIENTE REGULAR No. Resultados 20 15 10 5 0 13 14 No. RUBRO 47. 50. 15 16 Excelente Bueno Regular Deficiente No Cumple Página 52 . 48.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo De acuerdo a los datos estadísticos obtenidos en la siguiente grafica se concluyó que el servicio de internet proporcionado a los alumnos es regular. Evaluación de Laboratorios (Alumnos) Hallar mejoras en laboratorios para brindar un mejor servicio de internet.

Evaluación de Unidad Informática (Alumnos) Con el objetivo de identificar si el usuario conoce el área Cetro de TI. 54. RUBRO ¿Conoces el departamento de Unidad Informática? ¿Sabes dónde se encuentra? ¿Crees que la ubicación de la unidad informática es de fácil acceso? ¿Sabes quién es la persona responsable? ¿Conoce el horario del personal responsable de la administración de la red? SI 45 47 39 32 18 NO 35 33 41 48 62 70 60 No. 55.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo EVALUACIÓN DE UNIDAD INFORMÁTICA (ALUMNOS) No. 56. RUBRO ¿Utilizas con frecuencia el servicio de Internet? ¿Requiere una cuenta para acceder a este servicio? ¿Conoce el proceso que se realiza para adquirir dicha cuenta? ¿Conoce los servicios que tiene al adquirir una cuenta para el acceso a Internet? SI 54 49 39 35 NO 26 31 41 45 Página 53 . 20 21 SI NO EVALUACIÓN DE ACCESO A INTERNET (ALUMNOS) No. 52. de Rubro Gráfica 3. de Respuesta 50 40 30 20 10 0 17 18 19 No. 57. 58. 59. para cualquier duda o fallo en el servicio de internet que se le brinda. 51. 53.

¿Existen problemas al conectarse a internet? ¿Los problemas existentes afectan la realización de su trabajo? Si tuvieras alguna queja ¿sabes con quien y donde presentarla? ¿Tienen la suficiente confianza como para presentar su queja sobre fallas en el acceso de internet? SI NO 63 57 54 25 43 17 23 26 55 37 Página 54 . además de los derechos y obligaciones que adquiera al hacer uso de la misma. SI NO EVALUACIÓN DE FALLOS EN EL ACCESO A INTERNET (ALUMNOS) No. 60. 62. 68. de Rubro Gráfica 4. con la cuenta que ha adquirido 60 No. RUBRO ¿Consideras que el servicio de internet debe estar disponible a cualquier hora y para cualquier usuario? 65. 67. 64. Evaluación de Acceso a Internet (Alumnos) Con el objetivo de identificar si el usuario conoce el proceso para adquirir una clave y contraseña para el acceso a internet.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” No. de Respuesta 50 40 30 20 10 0 22 23 24 25 26 27 28 29 No. RUBRO Universidad Tecnológica de Huejotzingo SI NO ¿Tiene conocimiento de las restricciones y privilegios que tiene al adquirir una cuenta para el acceso a Internet? 34 42 30 30 46 38 50 50 61. 63. 66. ¿Solo usted tiene acceso a esta cuenta? Su cuenta siempre está disponible Tiene acceso a cualquier tipo de página web.

6. 8. con la persona correcta. 7. 9. La página de inicio para obtener acceso a la red es: ¿Cómo califica la conexión del Internet Inalámbrico? ¿Consideras que la seguridad con la que cuenta es? Considera que la cobertura del servicio de Internet Inalámbrico es: ¿Cómo consideras la restricción al acceso a páginas web? La velocidad utilizada en la transmisión de internet la consideras: ¿Cubre tus necesidades académicas? Página 55 N/A 0 0 2 0 1 1 1 0 1 0 .AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo 70 60 No. 33 34 SI NO EVALUACIÓN DEL SERVICIO DE INTERNET (PROFESORES) EXCELENTE NO CUMPLE 3 1 0 2 3 3 3 5 4 2 DEFICIENTE REGULAR BUENO No. 2. ¿Cómo consideras el servicio de internet? ¿Cuál es su grado de satisfacción general con el servicio? ¿Cómo califica el proceso para obtener una cuenta de Internet Inalámbrico? 0 1 2 1 2 0 2 3 1 1 6 8 11 11 6 6 9 9 7 9 14 11 9 9 11 13 9 8 8 12 7 9 6 7 7 7 6 5 9 6 4. 3. 10. Evaluación de Fallos en el Acceso a Internet (Alumnos) Identificar si el alumno tiene conocimiento de dónde acudir cuando este se le presente algún fallo y lo haga en el lugar correcto. de Rubro Gráfica 5. 5. de Respuesta 50 40 30 20 10 0 30 31 32 No. RUBRO 1.

de Respuestas 10 8 6 4 2 0 1 2 3 4 5 6 7 8 9 10 11 12 No. RUBRO 13. Excelente Bueno Regular Deficiente No Cumple No Aplica EVALUACIÓN DE LABORATORIOS (ALUMNOS) EXCELENTE DEFICIENTE REGULAR BUENO No. de Rubro Gráfica 6. ¿Cómo calificas en número de equipos de cómputo existentes? La disponibilidad con la cuentan los laboratorios es: 2 2 7 8 11 14 10 4 Página 56 N/A 0 2 N/A 0 2 . 12. 14. Evaluación del Servicio de Internet (Alumnos) Con el objetivo de conocer el grado de satisfacción que tienen los profesores en cuanto al servicio de internet. RUBRO 11.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo EXCELENTE NO CUMPLE 1 1 NO CUMPLE 0 0 DEFICIENTE REGULAR BUENO No. ¿Los tiempos de respuesta son? ¿Cómo calificarías el equipo de cómputo de los laboratorios? 0 1 8 10 14 11 7 5 14 12 No. donde se logra observar que el nivel de satisfacción es regular.

20. 19. 18. RUBRO 15. 21. El antivirus con el que cuentan los equipos de cómputo lo consideras: La instalación del cableado lo consideras: 2 3 4 8 12 11 8 7 14 12 No. de Respuestas 10 8 6 4 2 0 13 14 15 16 No. de Rubro Gráfica 7. el cual se observa que tanto como el usuario y laboratoristas coinciden con el mismo grado de satisfacción. Excelente Bueno Regular Deficiente No Cumple No Aplica EVALUACIÓN DE UNIDAD INFORMÁTICA (PROFESORES) No. Evaluación de Laboratorios (Profesores) Obtener el grado de satisfacción que tienen los laboratoristas en cuando el servicio de internet. 16.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo EXCELENTE NO CUMPLE 4 1 DEFICIENTE REGULAR BUENO No. RUBRO ¿Conoces el departamento de Unidad Informática? ¿Sabes dónde se encuentra? ¿Crees que la ubicación de la unidad informática es de fácil acceso? ¿Sabes quién es la persona responsable? ¿Conoce el horario del personal responsable de la administración de la red? SI 28 27 24 27 21 NO 2 3 6 3 9 ALGUNAS VECES 0 0 0 0 0 N/A 0 0 0 0 0 Página 57 N/A 0 0 . 17.

EVALUACIÓN DE ACCESO A INTERNET (PROFESORES) No. 24. con la cuenta que ha adquirido SI 28 21 21 20 NO 2 8 7 8 ALGUNAS N/A VECES 0 0 0 0 0 1 2 2 13 19 17 14 15 8 10 13 0 0 0 0 2 3 3 3 Página 58 . 28. RUBRO ¿Utilizas con frecuencia el servicio de Internet? ¿Requiere una cuenta para acceder a este servicio? ¿Conoce el proceso que se realiza para adquirir dicha cuenta? ¿Conoce los servicios que tiene al adquirir una cuenta para el acceso a Internet? 26. Evaluación de Unidad Informática (Profesores) Con el objetivo de identificar si el profesor conoce el área Cetro de TI. de Rubro 20 21 SI NO Algunas Veces NA Gráfica 8. ¿Solo usted tiene acceso a esta cuenta? Su cuenta siempre está disponible Tiene acceso a cualquier tipo de página web. de Respuestas 25 20 15 10 5 0 17 18 19 No. 22. 25.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo 30 No. ¿Tiene conocimiento de las restricciones y privilegios que tiene al adquirir una cuenta para el acceso a Internet? 27. 23. 29. para cualquier duda o fallo en el servicio de internet que se le brinda.

34. EVALUACIÓN DE FALLOS EN EL ACCESO A INTERNET (PROFESORES) No. de Resultados Universidad Tecnológica de Huejotzingo SI 20 NO 15 10 5 0 22 23 24 25 26 No. 30. además de los derechos y obligaciones que adquiera al hacer uso de la misma. 33. de Rubro 27 28 29 Algunas Veces NA Gráfica 9. Evaluación de Acceso a Internet (Profesores) Con el objetivo de identificar si el profesor conoce el proceso para adquirir una clave y contraseña para el acceso a internet. RUBRO ¿Consideras que el servicio de internet debe estar disponible a cualquier hora y para cualquier usuario? 31. ¿Existen problemas al conectarse a internet? ¿Los problemas existentes afectan la realización de su trabajo? Si tuvieras alguna queja ¿sabes con quien y donde presentarla? ¿Tienen la suficiente confianza como para presentar su queja sobre fallas en el acceso de internet? SI NO ALGUNAS N/A VECES 23 25 21 23 22 7 3 8 7 8 0 1 1 0 0 0 1 0 0 0 Página 59 .AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” 30 25 No. 32.

de Rubro 33 34 NO Algunas Veces NA Gráfica 10. Página 60 .AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo 35 30 SI No. de Resultados 25 20 15 10 5 0 30 31 32 No. Evaluación de Fallos en el Acceso a Internet (Profesores) Identificar si el profesor tiene conocimiento de dónde acudir cuando este se le presente algún fallo y lo haga en el lugar correcto. con la persona correcta.

Recomendaciones .

a 28 de Octubre de 2010 Lic. la operación de la red tanto física como lógica. el estado del hardware y software y la revisión de la gestión informática. Areli Rojano Calixto AUDITOR SENIOR . ____________________________ TSU. En el citado informe encontrará el dictamen y las condiciones a las cuales se llegaron después de la aplicación de las técnicas y procedimientos de la auditoría de sistemas. el cumplimiento de las actividades y funciones asignadas al personal. Quedo a usted para cualquier aclaración al respecto. de la estructura organizacional del departamento. Karina Gómez Puerto Universidad Tecnológica Huejotzingo P R E S E N T E Me permito informarle a Usted el Informe de Resultados de la auditoría practicada al Servicio Outsourcing administrado por el departamento de Unidad Informática de la Universidad Tecnológica de Huejotzingo. Pue. que se realizó del 12 al 28 de octubre del presente año. La revisión realizada fue de carácter integral y comprendió la evaluación.Santa Ana Xalmimilulco Hue.

Sin embargo.  Nivel 5 – Optimizado: Los procesos se han refinado hasta un nivel de mejor práctica. Este Modelo Genérico de Madurez de COBIT se compone de los siguientes niveles:  Nivel 0 . Entonces se pueden crear planes de acción para llevar estos procesos hasta el nivel objetivo de capacidad deseado. se deja que el individuo decida utilizar estos procesos. Los procesos están bajo constante mejora y proporcionan buenas prácticas. 2 El modelo de madurez de COBIT se deriva de CMMI Página 63 . Se usa la automatización y herramientas de una manera limitada o fragmentada. el modelado de la madurez permite identificar y demostrar a la dirección las brechas en la capacidad. brindando herramientas para mejorar la calidad y la efectividad. los errores son muy probables.Repetible: Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea.  Nivel 1 – Inicial: Se ha reconocido que los problemas existen y requieren ser resueltos. se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo EVALUACIÓN DE UNIDAD INFORMÁTICA APLICANDO MODELO DE MADUREZ PARA LA ADMINISTRACIÓN Y EL CONTROL DE LOS PROCESOS DE TI En la actualidad la evaluación de la capacidad de los procesos basada en los Modelos de Madurez de COBIT es una parte clave de la implementación del gobierno de TI.  Nivel 2 . por lo tanto.  Nivel 4 – Administrado: Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Sin embargo.No Existente: Carencia completa de cualquier proceso reconocible. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes. Existe un alto grado de confianza en el conocimiento de los individuos y. y se han difundido a través de entrenamiento. TI se usa de forma integrada para automatizar el flujo de trabajo. el cual es administrado por el departamento de Unidad Informática perteneciente a la Universidad Tecnológica de Huejotzingo. Después de identificar los procesos y controles críticos de TI.  Nivel 3 – Definido: Los procedimientos se han estandarizado y documentado. 2 Por la tanto la empresa Solution Corp utilizó el Modelo de Madurez para la Administración y Control de los procesos de TI para llevar a cabo la evaluación de los procesos del servicio de Internet. y es poco probable que se detecten desviaciones. No hay entrenamiento o comunicación formal de los procedimientos estándar. haciendo que la empresa se adapte de manera rápida. y se deja la responsabilidad al individuo.

no cuenta con un manual de organizacional el cual le impide saber las funciones de trabajo que deberán llevar a cabo. además de las responsabilidades y expectativas del puesto. lo que género que sé que se Repetible adecuara una infraestructura red de acuerdo al inmueble existente. debido a que no existió contemplar la instalación de una Infraestructura de la Red red . ya sea por cableado o inalámbrica. Esto ha provocado problemas para un buen servicio de internet. Existen medidas de seguridad estandarizadas sin embrago en Seguridad Definido ocasiones estás medidas pueden ser aplicadas o no por el personal y por lo tanto ocasionan que el servicio a internet sea más vulnerable. Página 64 . porque no se llevan a cabo en un 100%. La Universidad de Tecnológica de Huejotzingo cuenta con una infraestructura de red no adecuada a las necesidades (no para todos los edificios). Cabe mencionar que existen procesos para contra restar anomalías de la red. por ende la satisfacción del usuario no es cubierta en el servicio de internet. El servicio outsourcing brindado por Gemtel es bueno. sin embargo existen deficiencias en el mismo debido a que no existe una Outsourcing Administrado comunicación eficaz entre el proveedor y la Universidad. Cabe mencionar que existe un contrato donde se establecen los lineamientos del servicio entre el proveedor y la universidad. por lo cual requiere de establecer mejoras en el proceso y de establecer procesos que sean sometidos a mejora continua para llegar a la Calidad satisfactoria. existen procesos que llevan a cabo pero no se tiene un programa o JUSTIFICACIÓN metodología que permita cumplir con las metas establecidas. el cual genera incumplimiento en un menor porcentaje. se logra cubrir la gran mayoría de Departamento de Unidad Informática Repetible necesidades de los usuarios en el servicio de internet.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo A continuación se presenta el resultado de la evaluación de dichos procesos: ASPECTOS RELACIONADOS AL NIVELES DEL MODELO GENÉRICO DE MADUREZ El departamento de Unidad informática.

sin embargo la demanda por parte de los usuarios no es cubierta al 100%. debido a que no se Personal Repetible cuenta con el personal suficiente para cubrir estas necesidades. La instalación eléctrica con la que cuenta la unidad informática se adaptada a las necesidades del área. Cabe mencionar que no es sometida a un monitoreo o seguimiento. El equipo de con el que cuenta la unidad de informática provee un Hardware Administrado servicio de internet estable sin embrago existen mejores equipos que pueden ser implementados para proporcionar un servicio de internet de alto rendimiento. Página 65 . sin embargo no se cuenta con Instalación Eléctrica Repetible un mantenimiento constante a la misma. lo que con lleva a que no se detecten las deficiencias o problemas que puedan presentarse en la instalación. además de que no existe un documento donde se establezcan las funciones del personal generando deficiencia en el seguimiento de los procesos.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” NIVELES DEL MODELO GENÉRICO DE MADUREZ Universidad Tecnológica de Huejotzingo ASPECTOS RELACIONADOS AL JUSTIFICACIÓN El departamento de Unidad Informático tiene personal capaz de responder a las necesidades del área.

AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” RECOMENDACIONES No.15 Relaciones de COBIT v4. INFORME DEPARTAMENTO DE UNIDAD INFORMÁTICA Condición: El departamento de Unidad Informática no se encuentra en el organigrama de la Institución.1 Causa: Plantear ante autoridades la necesidad de contemplar 2 la Unidad de Informática. PO4. ya que dichas áreas son totalmente distintas. Criterio: PO4. DETALLE Universidad Tecnológica de Huejotzingo NIVEL RIESGO REF. el cual no está completamente relacionada con dicho departamento. Efectos: Que no se lleven a cabo procesos en TI más rigurosos. además desconocer a quien acudir cuando existe una problemática en la conexión de internet. con el propósito de que todo a que requiera servicios en TI sepa a quien dirigirse. Efectos: Trabajar con las herramientas que se tienen. para darlo a conocer. lo que ocasiona que dicha área sea desconocida. ALTA MEDIA BAJA  Encuestas aplicadas usuarios servicio Outsourcing a de  Cuestionario de Control Interno ALTA MEDIA BAJA  Encuestas aplicadas a usuarios de servicio Outsourcing  Cuestionario de Control Interno Página 66 . haciendo mención de los beneficios que se pueden obtener. claro que esto no impide que se adquiera mejoras en los procesos del servicio de internet Recomendaciones: Que la Unidad Informática lleve a cabo estrategias planteadas (metas) para un mejor servicio al cliente. Criterio: PO4.5 Estructura Organizacional de COBIT v4. Recomendaciones: Contemplar dentro del organigrama el área de Unidad de Informática haciendo referencia al responsable de dicha área. Condición: El departamento de Unidad Informática es controlado por del Área de Administración de Finanzas.1 Causa: Se debe llevar a una reunión donde se establezca la importancia a contar un Centro de Tecnologías de la 1 Información.4 Ubicación Organizacional de la Función de TI.

AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” No.1 Causa: Reunión para establecer las funciones por escrito para que 4 responda conforme a lo establecido. Criterio: Estructura Organizacional de COBIT v4. Página 67 ALTA MEDIA BAJA  Encuestas aplicadas a usuarios de servicio Outsourcing  Cuestionario de Control Interno  Cuestionario de Control Interno responsabilidad continua. DETALLE Universidad Tecnológica de Huejotzingo NIVEL RIESGO REF.1. sin embargo no existe un documento que sustente dichas funciones ya que estas se establecieron verbalmente. . solo lo haga para resolver problemas que se ocasionan en el momento.6 Establecimiento de Roles y Responsabilidades de COBIT v4. Criterio: Establecimiento de Roles y Responsabilidades COBIT 4. Efectos: A que el personal no realice funciones con ALTA MEDIA BAJA  Encuestas aplicadas a usuarios de servicio Outsourcing Recomendaciones: Que aunque no exista como tal el área de Unidad Informática en el organigrama. PO4.1 Causa: Plantear la consideración de la Unidad informática en una reunión en donde se establezcan las funciones que debe cubrir dicha área. Condición: La funciones de cada integrante del área de Unidad Informática están especificadas. Recomendaciones: Análisis de actividades que se deben llevar a cabo para brindar un buen servicio de internet y establecer un Manual Organizacional. el cual permita cumplir con las expectativas del servicio 3 en TI en la universidad. Efectos: No se tiene el interés de realizar actividades (como monitoreo de la red) de gran importancia que resuelvan o reduzcan problemas actuales. que se establezcan un manual organizacional y las funciones y el perfil que deben cubrir los puestos en el área de Unidad Informática. INFORME Condición: Internamente en el departamento no existe un organigrama que indique los puestos del personal perteneciente a dicha área y por lo tanto también carece de un Manual de Organización y Funciones. el cual haga responsable al personal de crear nuevas estrategias de trabajo (Plan de trabajo) que mejoren el servicio.

PO3. INFRAESTRUCTURA DE LA RED Condición: No existe un Plan de Infraestructura de Redes.1 5 Causa: Mediante una reunión llegar a un acuerdo en donde se planteen capacitaciones objetivas al área.2 Plan de Infraestructura Tecnológica. Criterio: PO4.12 Personal de TI de COBIT v4. INFORME capacitación 2 veces al año si embargo dichas capacitaciones no están enfocadas a la función que ellos desempeñan en la Universidad Tecnológica de Huejotzingo.1 Causa: 6 Programar una reunión con el director para ALTA MEDIA BAJA  Encuestas aplicadas a usuarios de servicio Outsourcing  Cuestionario de Control Interno ALTA MEDIA BAJA  Encuestas aplicadas a usuarios de servicio Outsourcing  Cuestionario de Control Interno reestructurar el diseño de red. Efectos: No existe un buen servicio de red (cableado e inalámbrico). Página 68 .AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo No. Condición: El personal DETALLE de Unidad Informática recibe NIVEL RIESGO REF. para formar personal competente y la vanguardia. Criterio: PO3. Recomendaciones: Replantear un diseño eficiente y eficaz que cubra con los requerimientos que satisfagan las necesidades del servicio de red. Efectos: El personal presenta incompetencia al enfrentarse a situaciones que requieren del conocimiento para resolverlas.4 Estándares Tecnológicos de COBIT v4. Recomendaciones: Capacitar al personal en temas que se relacionan al área de trabajo.

INFORME  Cuestionario de Control Interno ALTA MEDIA BAJA  Encuestas aplicadas a usuarios de servicio Outsourcing 7 provoca que las actividades que utilizan dicho servicio se desarrollen con mayor tiempo y esfuerzo. es decir. Página 69 . Criterio: PO3.2 Plan de Infraestructura Tecnológica de COBIT v4.1 y Gestión de la Infraestructura y Comunicaciones de TI de ITIL v3. será necesario:  Restringir los servicios que no son de mayor relevancia para los usuarios.  Establecer un plan de infraestructura de red que equilibre costos. Esto NIVEL RIESGO REF. Efectos: El servicio outsourcing no cubre las necesidades de los usuarios debido a que el mismo presenta deficiencias. Recomendaciones: Debido a que la Universidad no cuenta con un recurso económico para adquirir equipo sofisticado. Causa: La Universidad Tecnológica de Huejotzingo no cuenta con los suficientes recursos económicos para solventar los gastos de equipo de red más actualizado y que ofrezca mejores servicios de red.  Definir estándares de Infraestructura de red basados en requerimientos de arquitectura de información. esto hará que el servicio outsourcing más óptimo. riesgos y requerimientos. DETALLE Condición: La infraestructura de red se encuentra en buenas condiciones sin embargo no son óptimas para que se establezca un buen servicio de internet a los usuarios. asignar privilegios en la utilización de los servicios los cuales deberán ser asignados de acuerdo a las necesidades que los usuarios presenten.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo No.

enviar algún trabajo. Página 70 . es decir originados en la universidad.  Al establecer un plan de infraestructura de red óptimo nos brindará mayor control sobre los riesgos que se presentan en la red.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo No. Causa: Monitoreo no adecuado de la red. búsqueda de información. INFORME  Cuestionario de Control Interno ALTA  Encuestas aplicadas a usuarios de servicio Outsourcing Efectos: Deficiencias en el servicio de internet tales como: 8  No realizar actividades relevantes para el usuario: contestar exámenes en línea. la infraestructura no es óptima para proveer el servicio y el personal del departamento no se encuentra siempre que se le requiere lo que ocasiona que los problemas no se resuelvan en un corto tiempo. Criterio: Gestión de la Infraestructura y Comunicaciones de TI de ITIL v3.  Mayor tiempo en la consulta de páginas. DETALLE SEGURIDAD Condición: La mayoría de los problemas ocasionados en la conexión a Internet son daños locales. logrando que los problemas que se presenten se han corregidos en menor tiempo. BAJA MEDIA Recomendaciones:  Establecer nuevas estrategias para llevar un monitoreo optimizado de la red. NIVEL RIESGO REF. etc.

Criterio: PO4. es decir. deficiencias en la distribución del ancho de 10 banda. se le dificultará aprender los controles y procedimientos utilizados. Contemplar la adquisición de más ancho de banda. Recomendaciones: Elaborar el documento que establece los procedimientos y controles. existen actividades que requieren el uso de más ancho de banda por lo que se suspende el servicio para los demás usuarios y deficiencias en el servicio. Recomendaciones: Realizar un análisis que contemple los requerimientos de los usuarios y con ello distribuir Universidad Tecnológica de Huejotzingo NIVEL RIESGO REF. por lo cual se cree que no es 9 conveniente establecer un documento de los controles y procedimientos que protejan el acceso a conexiones y servicios de red. Criterio: Entrega de Servicio de ITIL v3 Causa: Falta de recursos económicos para adquirir mayor ancho de banda.1 Causa: El personal que pertenece al departamento de Unidad Informática es reducido. INFORME  Cuestionario de Control Interno ALTA MEDIA BAJA  Encuestas aplicadas a usuarios de servicio Outsourcing  Cuestionario de Control Interno ALTA MEDIA BAJA  Encuestas aplicadas a usuarios de servicio Outsourcing adecuadamente el ancho de banda.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” No. no existe algún documento que sustente dichos controles y procedimientos. Condición: Una de las limitantes para el acceso de internet es el ancho de banda. DETALLE Condición: Los controles y procedimientos que protegen el acceso a conexiones y servicios de red se establecieron verbalmente. lo cual provocará que existan deficiencias en su trabaja y un mal servicio al usuario. Efectos: Algunas aplicaciones que requieren el uso de este servicio tardan en cargar. Efectos: Al ingresar un nuevo personal.1 Marco de Trabajo de Procesos de TI COBIT4. Página 71 . debido que la Universidad Tecnológica no cuenta con el ancho de banda suficiente para que el servicio de internet cumpla las necesidades del usuario.

1 Causa: Falta de Recursos por parte de la Universidad Efectos: Infraestructura de red no adecuada provocando deficiencia en el servicio. 11 Recomendaciones: Establecer un Plan de Adquisición de Equipo de red que se alinea con el Plan de Infraestructura de Red. a través de reuniones cada dos meses. El plan debe considerar extensiones futuras para adiciones de capacidad. riesgos tecnológicos y vida útil de la inversión para actualizaciones de tecnología. el plan deberá de satisfacer los requerimientos funcionales y técnicos del servicio de internet establecidos. INFORME Tecnológica de COBIT v4. Recomendaciones: Establecer y mantener una estructura óptima de enlace. SERVICIO OUTSOURCING Condición: No existe una comunicación eficaz entre el proveedor de servicios y la Universidad Tecnológica de Huejotzingo. es decir. Criterio: AI3. DETALLE Condición: Los componentes físicos de la red no cubren todas las características de la red debido a que estos son adquiridos por que ofrecen una ventaja económica. Evaluar los costos de complejidad y la viabilidad comercial del proveedor y el producto al añadir nueva capacidad técnica. Criterio: PO4. comunicación y coordinación entre la función de TI y el proveedor. además de 12 que dicha comunicación no se establece entre el área responsable de la unidad informática que es el área de Administración de Finanzas Efectos: La solución de problemas el servicio de internet será resuelto en un periodo de tiempo mayor.1 Plan de Adquisición de Infraestructura Universidad Tecnológica de Huejotzingo NIVEL RIESGO REF. costos de transición.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” No.15 Relaciones de COBIT v4.1 Causa: La comunicación existente entre el proveedor y el departamento de unidad informática no es continúa. ALTA MEDIA BAJA BAJA MEDIA ALTA  Cuestionario de Control Interno  Encuestas aplicadas a usuarios de servicio Outsourcing  Cuestionario de Control Interno  Encuestas aplicadas a usuarios de servicio Outsourcing Página 72 .

debido a que mejoro el servicio ofrecido a la universidad. y que el desempeño es competitivo respecto a los proveedores alternativos y a las condiciones del mercado. sin embargo es confiable desde hace dos años. Recomendaciones: NIVEL RIESGO REF. INFORME  Cuestionario de Control Interno ALTA  Encuestas aplicadas a usuarios de servicio Outsourcing  Establecer un proceso para monitorear la prestación del 13 servicio para asegurar que el proveedor está cumpliendo con los requerimientos del negocio actuales y que se apega de manera continua a los acuerdos del contrato y a los convenios de niveles de servicio. internet de alta velocidad y acceso remoto dial up. MEDIA BAJA Página 73 . Criterio: DS1 Definir y Administrar los niveles de Servicio Causa: Establecer la confianza en un proveedor con lleva tiempo y esfuerzo. que están actualizados y que se han tomado en cuenta los cambios en requerimientos.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo No. hosting.  Revisar cada 2 meses con el proveedor. Efectos: El servicio puede presentar deficiencias y problemas para los usuarios. DETALLE Condición: Gemtel es una empresa dedicada a redes inalámbricas. los acuerdos de niveles de servicio y los contratos de apoyo. para asegurar que son efectivos. por medio de una licitación.  Contemplar la contratación de otros proveedores que otorguen las mismas o mejores ventajas que la empresa establecida actualmente.

profesores y alumnos pertenecientes a la universidad. me permito dictaminar que la red inalámbrica que es una no conformidad mayor debido a que no es factible para la mayoría de los usuarios. debido a que pueden ser controladas y corregidas en muy poco tiempo. Y por último cabe recordar como una observación que el Departamento de Unidad Informática no se encuentra en la estructura organizacional de la institución y es administrado por un área que no está debidamente relacionada con este departamento. Karina Gómez Puerto Universidad Tecnológica de Huejotzingo P R E S E N T E Acorde con las instrucciones giradas por el consejo de administración de la Universidad Tecnológica de Huejotzingo. misma que se llevó a cabo del día 12 al 28 de octubre del presente año. porque no hay suficiente ancho de banda para esta y no se cuenta con un plan de infraestructura de red.Santa Ana Xalmimilulco Hue. Cabe mencionar que la Universidad Tecnológica de Huejotzingo tiene muy poco ancho de banda para la red local. De los resultados obtenidos durante la evaluación me permito informarle a usted las siguientes observaciones y no conformidades: De acuerdo con las pruebas realizadas a la información sobre la estructura organizacional del Departamento de Unidad Informática. Areli Rojano Calixto AUDITOR SENIOR . Gestión Informática y Redes. además de que el encargado del área del departamento de Unidad informática no tiene el inventario de hardware y estos ocasiona dos no conformidades menores. me permito remitir a usted el dictamen de la auditoría aplicada al Servicio de Internet administrado por el Departamento de Unidad Informática de la Universidad Tecnológica de Huejotzingo. a 28 de Octubre de 2010 Lic. ATENTAMENTE ____________________________ TSU. haciendo especial énfasis en la información sobre la estructura de la organizacional del departamento. además de que el personal perteneciente a este departamento no es eficaz y eficiente para la solución de los problemas que se presentan en la red. lo cual no es suficiente para los administradores. Pue. Gestión Informática y Redes.

Anexos .

Sign up to vote on this title
UsefulNot useful